20個Linux伺服器安全強化建議(二)

2022-02-12 15:25:36 字數 2377 閱讀 8112

接上文,繼續介紹一些linux伺服器的安全配置。

#6、強密碼策略。

當我們使用 useradd、usermod 命令建立或維護使用者賬號時,確保始終應用強密碼策略。例如,乙個好的密碼至少包括8個字元,包含了字母、數字以及特殊字串、大小寫等。使用諸如「john the ripper」這樣的工具來查詢弱口令使用者,使用 pam_cracklib.so 來增強密碼策略。

#6.1 密碼生命週期。

chage 命令能夠修改口令的修改週期,以及最近一次密碼修改的日期。系統依據這些資訊判斷使用者口令是否應該修改。在 /etc/login.defs 檔案中定義了包括密碼生命週期在內的一些選項。如果需要對某個使用者禁用密碼生命週期,如下:

1 # chage -m 99999 username

獲取密碼過期資訊,輸入:

1 chage -l username

我們也可以在 /etc/shadow 檔案中定義這些字段:

::::::::

其中:minimum_days 定義密碼修改的最小時間間隔,也就是使用者能夠修改密碼的最小時間間隔。maximum_days 定義密碼有效的時間間隔,超過這個時間,使用者就必須修改密碼。warn 定義口令過期多少天前開始向使用者提示進行口令修改。expire 定義從2023年1月1日到過期時的天數,之後該使用者將無法再登入。

建議使用 chage 命令,而不是修改 /etc/shadow 檔案

1 # chage -m 60 -m 7 -w 7 username

#6.2、禁止使用之前用過的密碼。

可以設定禁止所有使用者使用之前的舊密碼,pam_unix 模組提供了這個功能,允許我們定義之前幾個舊密碼不能使用。

#6.3、登入失敗後鎖定使用者。

在linux中可以使用 faillog 命令來顯示失敗的登入或者設定失敗登入限制。檢視失敗的登入,可以輸入:

faillog

解鎖登入失敗的使用者,執行

faillog -r -u username

注意可以使用 passwd 命令來鎖定或解鎖使用者密碼。

#6.4、如何來檢查是否有賬號使用了空口令。

使用如下命令:

1 # awk -f: '

($2 == "")

' /etc/shadow

鎖定所有空密碼的賬戶

1  # passwd -l accountname

#6.5、確保沒有非root使用者的uid為0。

只有root使用者的uid為0,其具有系統的所有許可權。使用下面的命令進行檢查:

# awk -f: '

($3 == "0")

' /etc/passwd

應該僅能看到root一行的結果,如果還有其他使用者,請將這些使用者刪除。

#7、禁止root使用者登入。

永遠不要使用root使用者登入,應該使用 sudo 來執行需要root許可權的命令。sudo 避免了root口令的共享,同時提供了一些審計和追蹤的功能支援。

#8、伺服器的物理安全。

我們必須確保伺服器的物理安全,配置 bios 禁止從外部裝置啟動。設定 bios 和 grub boot loader 的密碼。所有的裝置應當安全的存放在idc(internet data center)中,並且安排了適當的機房安檢。

#9、禁用不需要的服務。

禁用所有不必要的服務和守護程序,並且將他們從隨系統啟動中刪除。使用下面的命令來檢查是否有服務隨系統啟動。

# chkconfig --list | grep

'3:on

'

要禁用服務,可以使用下面的命令:

# service servicename stop

# chkconfig servicename off

#9.1、檢查網路監聽的埠。

使用 netstat 命令檢視伺服器中有哪些監聽埠

# netstat -tulpn

如果有不需要的服務,可以使用 chkconfig 進行關閉。如果需要對外遮蔽,可以使用 iptables 。

#10、刪除x windows。

對伺服器來說,x windows完全沒有必要。可以使用包管理工具刪除。

# yum groupremove "x window system"

20個Linux伺服器安全強化建議(一)

linux伺服器安全對於保護使用者資料 智財權非常重要,同時還能減少你面對黑客的時間。在工作中,通常由系統管理員對linux的安全負責,在這篇文章中,介紹了20條對linux系統進行強化的建議。本文所有的建議都基於centos rhel系統或者ubuntu debian的發行版本。1 加密資料通訊方...

20個Linux伺服器安全強化建議(二)

接上文,繼續介紹一些linux伺服器的安全配置。6 強密碼策略。當我們使用 useradd usermod 命令建立或維護使用者賬號時,確保始終應用強密碼策略。例如,乙個好的密碼至少包括8個字元,包含了字母 數字以及特殊字串 大小寫等。使用諸如 john the ripper 這樣的工具來查詢弱口令...

20個Linux伺服器安全強化建議(三)

iptables 是乙個linux核心提供的,執行在使用者空間的程式,它允許使用者配置自己的防火牆策略。我們可以使用防火牆將不必要的流量過濾出去。使用 iptables 能夠避免很多拒絕服務 dos 攻擊。12 核心配置檔案優化 etc sysctl.conf turn on execshield ...